Entropy Mật Khẩu Là Gì?
Entropy mật khẩu đo lường mức độ khó đoán của một mật khẩu, tính bằng bit. Mỗi bit tăng thêm sẽ nhân đôi số lần thử trung bình mà kẻ tấn công phải thực hiện. Một mật khẩu có 40 bit tương ứng với khoảng một nghìn tỷ tổ hợp khả dĩ, trong khi từ 80 bit trở lên được xem là rất mạnh trước các cuộc tấn công dò mật khẩu (brute-force) hiện đại. Công cụ này đưa ra ước tính toán học mang tính tổng quát và không xét đến các từ trong từ điển, các mẫu dễ đoán hay việc dùng lại mật khẩu.
Cách Sử Dụng Công Cụ
Hãy nhập độ dài mật khẩu của bạn và tích chọn các tập ký tự mà mật khẩu sử dụng: chữ thường (26), chữ hoa (26), chữ số (10) và ký tự đặc biệt (≈32). Công cụ sẽ cộng lại thành kích thước tập ký tự \(R\), sau đó tính entropy với giả định mỗi ký tự được chọn ngẫu nhiên và độc lập với nhau.
Giải Thích Công Thức
Entropy được tính bằng $$E = \text{Length} \cdot \log_{2}(R)$$ trong đó \(L\) là số ký tự và \(R\) là kích thước tập ký tự. Logarit cơ số 2 chuyển đổi tổng số tổ hợp (\(R^{L}\)) thành bit, bởi mỗi bit đại diện cho một quyết định nhị phân có/không. Tương đương, ta có \(E = \log_{2}(R^{L})\).
Ví Dụ Minh Họa
Một mật khẩu dài 12 ký tự gồm chữ thường + chữ hoa + chữ số có \(R = 26 + 26 + 10 = 62\). Vậy $$E = 12 \times \log_{2}(62) = 12 \times 5{,}954 \approx 71{,}45 \text{ bit}$$ tương ứng với \(62^{12} \approx 3{,}2 \times 10^{21}\) tổ hợp khả dĩ — đủ mạnh cho hầu hết các nhu cầu sử dụng.
Câu Hỏi Thường Gặp
Bao nhiêu bit thì được coi là "an toàn"? Một quy tắc phổ biến: từ 60 bit trở lên là khá ổn, từ 80 bit trở lên là mạnh, và từ 100 bit trở lên là tuyệt vời cho các tài khoản quan trọng.
Công cụ này có đo đúng mật khẩu thực tế của tôi không? Không. Nó giả định các ký tự thực sự ngẫu nhiên. Một mật khẩu 12 ký tự như "Password1234" có entropy thực tế thấp hơn nhiều vì nó theo những mẫu rất dễ đoán.
Tại sao lại dùng \(\log_{2}\)? Entropy được đo bằng bit, và mỗi bit nhân đôi công sức dò đoán — đúng với những gì logarit cơ số 2 thể hiện.
